Informe enviado pela Kaspersky Lab
São Paulo, 14 de Janeiro de 2013 – A Kaspersky Lab anuncia a descoberta de uma nova campanha de ciberespionagem dirigida a órgãos diplomáticos e centros de investigação científica e governamentais em operação há pelo menos cinco anos. Os alvos são países do leste europeu, ex-membros da União Soviética e países da Ásia Central, embora entre as vítimas se encontre também órgãos da Europa Ocidental, América do Norte, Brasil e Chile.
Em Outubro de 2012, a equipe de analistas da Kaspersky Lab iniciou uma investigação com base em uma série de ataques dirigidos contra redes informáticas internacionais de diferentes agências de serviços diplomáticos. Segundo o relatório da empresa, a Operação Outubro Vermelho, também chamada “Rocra” pela sua sigla em inglês, foi iniciada em 2007 e ainda está ativa nos dias de hoje.
Foram uitlizadas duas técnicas para a identificação do malware: a Kaspersky Security Network (KSN), rede de proteção baseada na nuvem presente em todos os produtos da empresa, que permitiu confirmar a infecção em centenas de embaixadas, institutos de investigação científica, consulados e sistemas governamentais e organizacionais foram infectados; e a criação de um servidor sinkhole, que permitiu determinar 55 mil ligações (de 250 endereços IPs em 39 países diferentes) realizadas no período entre novembro de 2012 e janeiro de 2013. A KSN detectava o código do exploit utilizado na operação Rocra desde 2011.
O principal objectivo dos criadores é obter documentos privados das organizações comprometidas, como dados de inteligência geopolítica, bem como credenciais de acesso a sistemas restritos, dispositivos móveis pessoais e equipamentos de rede. Os cibercriminosos usavam a informação coletadas nas redes infectadas para ter acesso a sistemas adicionais. Por exemplo, as credenciais roubadas eram compiladas numa lista, que era utilizada para adivinhar senhas ou frases de acesso em outros sitemas críticos.
Os ataques concentram-se em agências diplomáticas e governamentais de diversos países de todo mundo, além de instituições de investigação, empresas de energia nuclear, comércio e indústrias aeroespaciais. A disseminação da campanha de ciberespiopnagem era realizada por meio de mensagens de phishing com um trojan personalizado, que era o responsável pela infecção do sistema de email malicioso e incluía exploits manipulados por vulnerabilidades de segurança dentro do Microsoft Office e Microsoft Excel.
Os criadores do Outubro Vermelho desenvolveram seu próprio malware, identificado como "Rocra", que contava com uma arquitetura modular própria, composta por extensões, módulos maliciosos e trojans backdoors. A plataforma de ataque era multifuncional e utilizava diferentes extensões e arquivos maliciosos para se configurar adequadamente aos diferentes sistemas-alvos e extrair as informações dos equipamentos infectados. A plataforma do Rocra ainda nao havia sido identificada em nenhuma campanha de ciberespionagem anterior.
Entre as principais descobertas, destaque-se:
· Módulo de ressurreição:embutido em um plug-in dentro do Adobe Reader e na instalação do Microsoft Office, possibilita que o malware se reinstale, caso o corpo principal da infecção fosse eliminado ou o sistema fosse corrigido.
· Módulos de encriptação de espionagem avançada:oo principal objetivo dos módulos de espionagem eramo roubo de informação. Incluindo arquivos de diferentes sistemas de encriptação, como o Acid Cryptofiler, que é conhecido por ser utilizado para proteger informação sensível em organizações como a OTAN, a União Européia, o Parlamento Europeu e a Comissão Europeia desde o Verão de 2011.
· Dispositivos móveis:além de atacar estações de trabalho tradicionais, o malware é capaz de roubar dados de dispositivos móveis, como smartphones (iPhone, Nokia e Windows Mobile), incluindo informações de configuração de redes corporativas, como routers ou switches, bem como arquivos apagados de discos rígidos externos.
· Identificação do atacante: com base no registro de dados nos servidores C&C e dos numerosos “artefatos” deixados nos executáveis do malware, existe uma forte evidência indicando que os atacantes têm origens relacionadas com o idioma russo. Além disso, os executáveis utilizados eram desconhecidos até há pouco tempo e não foram encontrados em ataques de ciber-espionagem analisados pela Kaspersky Lab anteriomente.
A Kaspersky Lab, em colaboração com organizações internacionais, autoridades e CERTs (equipes de resposta a incidentes de segurança), continuará sua investigação sobre o Rocra. A empresa agradece ainda a US-CERT, o CERT Romeno e Bielorrusso pela sua ajuda com a investigação.
Os produtos da Kaspersky Lab detectam o malware Rocra como Backdoor.win32.sputnik, bloqueando-o e desativando-o.
Mais informaçãos sobre a campanha Outubro Vermelho , acesse Link.